LDAPS Funciona Apenas na Autoridade de Certificação de Domínio e Não em Outros Controladores de Domínio - Serviços de Certificados do Active Directory - Windows Server 2008 R2

Question

LDAPS Funciona Apenas na Autoridade de Certificação de Domínio e Não em Outros Controladores de Domínio - Serviços de Certificados do Active Directory - Windows Server 2008 R2

#1 resposta do (2 votos)

1

Eu tenho 3 controladores de domínio com a função do Active Directory instalada neles. Eu instalei o Certificate Services em um dos controladores de domínio. Eu sou capaz de LDAPS para ele, mas não os outros, embora o certificado mostra nas lojas confiáveis dos outros dois controladores de domínio.

Ao tentar se conectar ao ldp.exe, recebo esta mensagem de erro: ... ... Erro 81 = ldap_connect (hLdap, NULL); Erro de servidor: Erro < 0x51 & gt ;: Falha ao conectar-se a

Eu tentei importar manualmente o certificado, reiniciar os serviços de certificado e muitas outras coisas que perdi. Alguma ideia do que está acontecendo? Obrigado!

certificate certificate-authority

por Section8Network 16.11.2013 / 22:54

1 resposta

Tags certificate certificate-authority

O Mysql não pode criar privilégios de usuário / concessão nos existentes (acesso negado) Encontrando uma rede muda IP

score 2 · Answer 1

Os controladores de domínio do Active Directory só terão um ouvinte LDAPS em funcionamento no 636 se tiverem seu próprio certificado e chave privada no armazenamento de certificados do computador que tenha o uso de Autenticação do servidor definido.

A autoridade de certificação já tem isso em virtude de ser uma autoridade de certificação (o certificado raiz da CA preenche o requisito, pois é válido para todos os tipos de uso), mas para os outros servidores, simplesmente confiar no certificado raiz eles o que é necessário.

Para resolver isso, você deve fazer duas coisas:

Em certsrv.msc para a autoridade de certificação, em Modelos de certificado, ative a autoridade de certificação para emitir o modelo de autenticação Kerberos ("novo modelo de certificado a ser emitido").
Em certtmpl.msc , abra as propriedades do modelo de Autenticação do Kerberos. Na guia de segurança, ative "Inscrever" e "Registrar automaticamente" para o grupo Domain Controllers .

A execução de certutil -pulse nos outros controladores de domínio deve solicitar que eles se inscrevam em um desses certificados, e o LDAPS deve começar a funcionar nesses sistemas.